泄密查冊網承辦商 開發屢壞康體通 議員促「停賽」 資科辦:全政府檢視保安一周內匯報
【明報專訊】公司註冊處電子服務網站現資料外泄風險,事隔兩周公布調查發現約11萬人受影響。翻查資料,內地央企「航天科工集團」子公司「??航天信息股份有限公司」2018年以6.22億元中標開發該系統。公司註冊處回覆本報查詢確認該公司為系統承辦商,檢視合約條款後會考慮採取跟進行動,又稱截至昨日未收到任何人報告資料外泄。翻查資料,涉事公司亦為康文署供應SmartPLAY康體通訂場系統,曾現「塞車」及重複訂場等問題。選委界議員吳傑莊認為應暫停涉事承辦商投標新政府合約,檢視其專業水平及研究有否追究條款。
公司註冊處:研合約考慮跟進
近年發生多宗資料外泄事故,資科辦稱高度關注,已再次提示所有決策局及部門首長,要求檢視資訊保安措施,以及提醒轄下所有系統及用戶,嚴格遵循政府資訊保安規例、政策和指引處理敏感及個人資料,並於一周內向資科辦匯報。
央企「??航天信息」最少12政府合約
「??航天信息」董事會2018年公布,以約6.22億港元中標涉事系統,實施期長達55個月,其後有10年「維運期」。本報昨向涉事公司查詢,截稿前未獲回覆。翻查物流署及資科辦網站,公司2019年起最少獲批12份政府合約,包括2020年以約5.1億元為康文署供應智能康體服務預訂資訊系統(SmartPLAY),系統曾現多項故障,包括啟用初期「塞車」、出現重複訂場及資料外泄漏洞,亦有用戶反映隨意輸入他人英文名後程式會顯示以該名作帳號的用戶的中文全名。
暫停競投機制 涉事項目不適用
現時資科辦《優質資訊科技專業服務常備承辦協議》設機制,暫停表現不達標承辦商競投新的報價邀請。資科辦昨稱,涉事系統並非《協議》的項目,監察制度並不適用。
公司註冊處事隔兩周才公布調查結果,被問及何時發現約有11萬人受影響,處方昨無正面回應,僅稱十分重視外泄風險,已全面檢視系統並封堵進一步資料外泄風險,防止再有同類事件。
本港接連發生資料外泄事故,按現時《私隱條例》規定,涉事機構或部門只需盡快通報公署及受影響者。公署昨稱,正積極全面審視《私隱條例》及擬訂具體修例建議,包括設立強制資料外泄通報機制及要求資料使用者制訂個人資料保留時限政策等。
吳傑莊認為,除提高罰則及制定民事索償機制外,當局可參考會計界或工程界引入「問責制」,即由網絡保安負責人檢視新開發系統後,簽署確認網絡風險獲足夠保護,日後一旦出現事故能追討相關法律責任,以提高阻嚇。
議員促引入問責 出事可追究
選委界議員江玉歡認為,相關部門應全面檢視《私隱條例》,包括強制通報事故、提高資料外泄罰則及引入民事索償機制等,「公私營機構罰則均應一視同仁」,才能增加公私營機構保障私隱意識。她認為,當務之急是釐清事故成因,究竟涉及人為管理或系統出錯;若是系統出錯,暫停涉事公司招標屬「合理」,檢視涉事公司是否符合資格及服務水準是否達標。
私隱專員鍾麗玲2007至2020年曾任公司註冊處長。根據公司註冊處網站,涉事系統早在2018年起開發,2021及2023年分階段推出。私隱公署昨稱,鍾麗玲2020年9月初離任公司註冊處長,而政府於2021年4月就新查冊安排徵詢立法會,故鍾無參與有關工作及相關系統開發和實施,又強調任何調查均嚴格依循《私隱條例》規定。
私隱公署去年舉辦「私隱之友嘉許獎2023」,近日出現資訊保安事故的仁安醫院及公司註冊處分別奪得卓越金獎及金獎。被問到會否褫奪獎項,公署昨稱相關循規審查及調查正進行,無進一步評論。
■明報報料熱線﹕inews@mingpao.com / 9181 4676